Tecnologia

Heartbleed: le 5 cose da sapere per proteggersi

Lunedì 7 aprile la Rete ha scoperto l'esistenza di Heartbleed: significa "cuore che sanguina" ed è probabilmente la più seria minaccia ai nostri dati mai comparsa su Internet. Ecco come funziona, chi colpisce e in che modo possiamo proteggere le nostre mail e i nostri social network. E quali password dobbiamo cambiare.

1 - Che cosa è Heartbleed
Heartbleed (cuore che sanguina in inglese) non è un "virus da computer": è un vulnerabilità informatica. In pratica, una falla in una componente chiave dei sistemi che garantiscono la sicurezza delle comunicazioni su Internet.
Quindi, non siamo protetti per il semplice fatto di avere l'antivirus installato.

2 - Quando si è diffuso e quando è stato comunicato
La falla esiste dal dicembre 2011. È stata scoperta e comunicata lunedì 7 aprile da Neel Metha, ingegnere di Google, che ha creato una pagina web con tanto di logo "carino". È la prima volta che si comunica una criticità così grave… creando un sito e un logo.

«Sapremo con esattezza quanto è stato grave l’impatto di Heartbleed soltanto nelle prossime settimane» dice Antonio Forzieri, esperto di sicurezza di Symantec.

3 - Che cosa fa Heartbleed
Colpisce una funzionalità di OpenSSL, un tipo di sistema di cifratura (SSL) delle comunicazioni online usato, si stima, da due terzi dei server del pianeta.
Semplificando all’osso, OpenSSL si preoccupa di codificare quello che “esce” da un computer e viaggia nella rete per raggiungere un altro computer (il nostro o un server): qui, OpenSSL esegue il processo inverso e ci permette di leggere i dati. È un processo che, di solito, noi non percepiamo. Succede, per esempio, ogni volta che vediamo un lucchetto in alto a sinistra nella barra degli indirizzi del browser: significa che un SSL è abilitato.

Come funziona l’attacco

OpenSSL ha una funzionalità chiamata Heartbeat (battito del cuore): serve ai gestori dei server per sapere che tutto sta funzionando a dovere.

In pratica, è come se un computer chiedesse al sistema responsabile “Sei vivo?” ogni tot secondi. E quello risponde “Sì sto bene”.

Solo che Heartbeat può essere ingannato dall’invio di un codice modificato da un hacker: questi gli invia il “Sei vivo?” e heartbeat risponde inviando anche pacchetti di memoria presenti sul server in quel momento. Se si tratta di un server presso il quale ci si autentica (come Gmail o Facebook), quei pacchetti di memoria (64K per volta) possono contenere dati di nomi utente e password. O qualsiasi altra cosa. La falla che genera questo comportamento è stata chiamata Heartbleed per assonanza con Heartbeat e perché significa "sanguinamento del cuore".

4 - Chi ha colpito
Tutti i server che utilizzano OpenSSL, a patto che abbiano il tool "heartbeat" (vedi box qui a fianco) installato e funzionante. Si stima siano i due terzi del totale.

Tra questi ci sono Google, Facebook, Dropbox e Yahoo.

Non sono invece affetti (perché non usano il sistema Open SSL) Microsoft, Amazon, Linkedin e PayPal.

Apple e Twitter non dichiarano quale SSL usano, quindi non è dato sapere se sono affetti o no.

Non sono a rischio neppure i siti di home banking, protetti solitamente da protocolli proprietari.

5 - Che cosa dobbiamo fare noi per essere protetti
Un solo consiglio: è meglio cambiare le password di Google, Facebook e Yahoo, dato che hanno dichiarato di aver corretto la falla. Nel dubbio, è preferibile cambiare anche quelle di Twitter e Apple.

La mail, in particolare, va sempre protetta al massimo: dalla nostra mail si possono ottenere le password per quasi tutte le altre applicazioni, dalla banca ai dati più sensibili. «Cambiare le password è una operazione sempre consigliabile, che andrebbe fatta comunque di tanto in tanto» spiega Antonio Forzieri.

Va fatto, però, nel modo giusto. «Evitando i comportamenti critici: non bisogna scriversi la password da qualche parte, non usare date di nascita o squadre di calcio ed evitare di usare la stessa per tutte le applicazioni» dice Forzieri.

Attenzione, però: «Nel caso specifico di Heartbleed, prima di cambiarla è bene chiedere all’operatore se la falla di OpenSSL è stata corretta: altrimenti il cambiamento è inutile».

E al momento la falla di Heartbleed è stata corretta su questi siti (e dunque va cambiata la password):


Facebook
Tumblr
Google
Yahoo!
Gmail
Yahoo! Mail
Intuit
Dropbox
LastPass
OKCupid
SoundCloud
Wunderlist


Dove non è chiaro se bisogna cambiare la password oppure no:

Twitter
Apple
eBay
Netflix


Dove non bisogna cambiare la password (perché i siti non usano Open SLL):

LinkedIn
Amazon
Microsoft
AOL
Hotmail / Outlook
PayPal

Leggi anche: come creare password imbattibili

10 aprile 2014 Carlo Dagradi
Ora in Edicola
Scopri il mondo Focus. Ogni mese in edicola potrai scegliere la rivista che più di appassiona. Focus il magazine di divulgazione scientifica più letto in Italia, Focus Storia per conoscere la storia in modo nuovo ed avvincente e Focus Domande & Risposte per chi ama l'intrattenimento curioso e intelligente.

Ascesa e declino di Sparta, la polis greca che dominò il Peloponneso con la sua incredibile forza militare e un'organizzazione sociale che forgiava soldati e cittadini pronti a tutto. Perché Beethoven cambiò per sempre il mondo della musica; gli esordi dell'Aids, l'epidemia che segnò un'epoca.

ABBONATI A 29,90€
Questo numero di Focus è speciale perchè l'astronauta dell'Esa Luca Parmitano ci ha affiancato per realizzare un giornale dedicato alle frontiere della scienza, dalla caccia agli esopianeti alla lotta contro il coronavirus fino agli organi stampati in 3d. Grazie Luca per i tuoi consigli e suggerimenti!
ABBONATI A 29,90€

Cosa posso comprare nel mondo con un euro? Perché i crackers hanno i buchi? Dove vanno i gatti quando spariscono da casa? Quanto può dormire un batterio? Correre una maratona fa ringiovanire? Con Focus D&R trovi più di 250 risposte rigorosamente scientifiche alle domande più curiose, divertenti e (anche) un po' folli che potresti mai immaginare.

 

 

ABBONATI A 14,90€
Follow us